Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

IT-Security-Ressourcen: Podcasts, Plattformen und Informationsquellen

Ein strukturierter Überblick über deutschsprachige und englische IT-Sicherheits-Podcasts, Lernplattformen, Nachrichtenquellen, CTF-Plattformen und Community-Ressourcen für Einsteiger und Profis.

Inhaltsverzeichnis (6 Abschnitte)

Der IT-Security-Bereich entwickelt sich schneller als nahezu jedes andere Technologiefeld. Wer auf dem aktuellen Stand bleiben möchte - ob als Einsteiger, Entwickler, IT-Administrator oder Security-Spezialist - steht vor einer Flut von Informationsquellen unterschiedlicher Qualität. Dieser Artikel strukturiert die wichtigsten Ressourcentypen: Podcasts für den Alltag, Lernplattformen für praktische Fähigkeiten, Nachrichtenquellen für aktuelle Bedrohungen und Communities für den Austausch mit Gleichgesinnten.

Podcasts: IT-Sicherheit fürs Ohr

Podcasts eignen sich gut, um während des Pendelns, beim Sport oder in der Mittagspause mit den Entwicklungen im Security-Bereich Schritt zu halten. Die Qualität und Tiefe variiert erheblich.

Deutschsprachige Podcasts:

CCC-Podcasts / media.ccc.de bündeln Originalvorträge des Chaos Computer Clubs (Congress, Open Source Days u.a.) als Audio/Video. Die Themen reichen von Datenschutz und Kryptographie über Netzpolitik bis zur Hackerkultur, das Niveau ist mittel bis fortgeschritten, und die Inhalte sind frei ohne Registrierung verfügbar.

Heise Security Podcast liefert wöchentliche News-Zusammenfassungen zu aktuellen Sicherheitsvorfällen, Patches und DSGVO-Urteilen. Der Fokus liegt auf Deutschland/DACH, das Niveau richtet sich an Einsteiger bis Mittelstufe. Verfügbar auf Heise Online und allen gängigen Podcast-Plattformen.

BSI-Podcast "Update verfügbar" erscheint zweiwöchentlich (~30 Minuten) und richtet sich an nicht-technische Anwender mit Themen wie Verbraucherschutz, Phishing, sichere Passwörter und smarte Geräte. Verfügbar auf der BSI-Website, Spotify und Apple Podcasts.

Datenschutz-Podcast (RA Sebastian Schulz) erscheint monatlich mit juristisch geprägtem Fokus auf DSGVO-Urteile, Bußgelder und Datenschutzrecht. Besonderheit ist die rechtliche Perspektive auf technische Themen.

Englischsprachige Podcasts:

Darknet Diaries (Jack Rhysider) erzählt im episodischen Storytelling-Format wahre Hacker-Geschichten, Cyberkriminalität und Spionagefälle. Trotz technischer Fundierung ist der Podcast für alle Niveaus zugänglich.

Security Now (Steve Gibson / Leo Laporte) erscheint wöchentlich mit über zwei Stunden tiefer technischer Analyse zu Schwachstellen, Kryptographie, Windows-Internals und aktuellen News. Niveau mittel bis fortgeschritten, seit 2005 on air.

Risky Business (Patrick Gray) bietet wöchentlich ca. eine Stunde Industrie-Nachrichten und Interviews mit Security-Professionals für ein mittleres bis fortgeschrittenes Publikum.

The Social-Engineer Podcast erscheint monatlich und behandelt Social Engineering, Phishing und den menschlichen Faktor anhand von Praxisfällen und Psychologie.

Smashing Security (Graham Cluley / Carole Theriault) berichtet wöchentlich humorvoll über aktuelle Sicherheitsvorfälle, geeignet für Einsteiger bis Mittelstufe.

Lernplattformen für praktische Fähigkeiten

Für denjenigen, der praktische Skills aufbauen möchte - ob für eine Karriere in der IT-Sicherheit oder zum besseren Verständnis von Angriffs- und Verteidigungstechniken - gibt es spezialisierte Plattformen mit realen Lernumgebungen.

CTF-Plattformen (Capture the Flag):

TryHackMe (tryhackme.com) richtet sich an Einsteiger bis Mittelstufe und bietet geführte "Rooms" mit Schritt-für-Schritt-Aufgaben zu Linux, Web Security, Netzwerken, Active Directory und OSINT. Besonders geeignet für Einsteiger ohne eigene Laborumgebung. Kostenloser Basisplan, Premium ca. 14 EUR/Monat.

HackTheBox (hackthebox.com) ist für mittlere bis fortgeschrittene Nutzer gedacht und bietet "Machines" und "Challenges" ohne ausführliche Anleitung. Themen umfassen Web, Binary Exploitation, Reversing, Forensics und Cryptography. Die Plattform bietet auch offizielle Prüfungsvorbereitungen (CPTS, CWEE). Kostenloser Basisplan, VIP ca. 14 EUR/Monat.

PicoCTF (picoctf.org) ist der jährliche CTF-Wettbewerb der Carnegie Mellon University, kostenlos und besonders für Schüler und Studenten geeignet.

PortSwigger Web Security Academy (portswigger.net/web-security) bietet kostenlose interaktive Labs zu OWASP-Schwachstellen (SQL Injection, XSS, CSRF, SSRF, XXE, Deserialization und mehr). Von den Machern des Burp Suite - inhaltlich exzellent für alle Niveaus.

Root-Me (root-me.org) richtet sich an mittlere bis fortgeschrittene Nutzer und bietet über 500 Challenges in den Kategorien Web, System, Network, Cryptanalysis und Steganography, kostenlos.

OWASP WebGoat (owasp.org/projects/webgoat) ist eine absichtlich unsichere Web-Anwendung zum lokalen Installieren, die die OWASP Top 10 anhand konkreter Übungen vermittelt. Open Source und kostenlos, besonders gut für Entwickler und Einsteiger.

Zertifizierungsorientierte Plattformen:

Offensive Security (offsec.com) bietet den OSCP (Offensive Security Certified Professional), OSEP und OSED. Der OSCP gilt als Gold-Standard für Penetration Tester. Kurs inkl. Prüfung ca. 1.500 USD.

SANS (sans.org) bietet hochwertige Kurse mit GIAC-Zertifizierungen (GPEN, GCIH, GSEC u.a.), die in der Industrie stark anerkannt sind. Kosten: 5.000-8.000 EUR pro Kurs.

INE Security (ine.com, vormals eLearnSecurity) bietet Kurse wie eJPT (Einsteiger), eCPPT und eWPT (Web) zu günstigeren Preisen als SANS, mit Jahres-Abos.

Nachrichtenquellen und Bedrohungsfeeds

Für das Monitoring aktueller Bedrohungen, Schwachstellen und Sicherheitsvorfälle gibt es eine Reihe von etablierten Quellen.

Deutschsprachige Quellen:

Das BSI (bsi.bund.de) veröffentlicht Warnmeldungen zu kritischen Schwachstellen, den Jahresbericht zur Lage der IT-Sicherheit in Deutschland, die IT-Grundschutz-Kataloge sowie die Allianz für Cyber-Sicherheit (acs.bsi.de) für Unternehmen.

Heise Security (heise.de/security) liefert tagesaktuelle, journalistisch aufbereitete News zu Schwachstellen und Vorfällen in deutscher Sprache.

CERT-Bund veröffentlicht technische Warnungen und Advisories und betreibt eine Mailingliste für kritische Infrastrukturbetreiber.

Englischsprachige Quellen:

CISA (cisa.gov) ist die offizielle US-Behörde für Cybersicherheit und veröffentlicht Advisories zu ICS/SCADA, kritischen Infrastrukturen sowie den KEV-Katalog (Known Exploited Vulnerabilities).

Krebs on Security (krebsonsecurity.com) steht für investigativen Cybersecurity-Journalismus mit Fokus auf Cyberkriminalität und Datenpannen.

Bleeping Computer (bleepingcomputer.com) berichtet schnell über Malware, Ransomware und Patches.

SANS Internet Storm Center (isc.sans.edu) veröffentlicht tägliche Diary-Einträge von Security-Analysten - technisch fundiert, oft mit Malware-Analysen.

Threat Intelligence Feeds für technische Teams: AlienVault OTX (kostenlose IOC-Feeds), Abuse.ch mit MalwareBazaar, FeodoTracker und URLhaus, OpenPhish für aktive Phishing-URLs, Shodan und Censys für internetweite Scan-Daten sowie VirusTotal für Datei- und URL-Analyse.

Marktplätze und Tool-Überblicke für Security-Professionals

Im IT-Security-Umfeld gibt es zahlreiche Tools - von kostenlosen Open-Source-Projekten bis zu Enterprise-Lösungen. Orientierung bieten kuratierte Übersichten und Communities.

Tool-Verzeichnisse:

GitHub Awesome-Security (github.com/sbilly/awesome-security) ist eine kuratierte Liste von Open-Source-Security-Tools mit Kategorien wie Network, SIEM, IDS, Forensics und Vulnerability Scanning.

OWASP Project List (owasp.org/projects) listet offizielle OWASP-Projekte nach Qualitätskategorien (Flagship, Lab, Incubator), darunter ZAP, Dependency Check und viele weitere.

Kali Linux Tool List (kali.org/tools) dokumentiert alle in Kali Linux enthaltenen Tools mit Beschreibungen und ist ein gutes Nachschlagewerk für Pentest-Werkzeuge.

ExplainShell (explainshell.com) erklärt Linux-Befehle inklusive aller Flags - nützlich beim Verstehen von Tool-Dokumentation.

GTFOBins (gtfobins.github.io) listet Unix-Binaries, die für Privilege Escalation genutzt werden können - wichtig für CTFs und Linux-Pentests.

LOLBAS (lolbas-project.github.io) ist das Windows-Äquivalent: Living Off the Land Binaries and Scripts, die als Windows-Bordmittel für Angriffe missbraucht werden können.

Communities:

Auf Reddit bieten r/netsec (News und technische Diskussionen), r/AskNetsec (Fragen für Einsteiger und Profis) und r/hacking (gut für Einsteiger) aktive Austauschforen.

Discord-Server der wichtigsten Plattformen: TryHackMe Discord, Hack The Box Discord sowie lokale OWASP-Chapters in vielen deutschen Städten.

Auf LinkedIn und Twitter/X teilen renommierte Security-Forscher aktuelle Erkenntnisse unter Hashtags wie #infosec, #cybersecurity, #pentest und #bugbounty.

Einstiegsempfehlungen nach Zielgruppe

Die Auswahl der richtigen Ressourcen hängt stark vom persönlichen Ausgangspunkt ab.

Nicht-technische Anwender / allgemeine Sensibilisierung: BSI-Podcast "Update verfügbar", BSI-Webseite (verbraucherschutz.bsi.de) und der KnowBe4 Security Awareness Blog (kostenlos).

IT-Administratoren ohne Security-Spezialisierung: TryHackMe mit den Pfaden "Pre-Security" und "SOC Level 1", SANS Reading Room für kostenlose Whitepapers sowie Heise Security für tagesaktuelle Patches.

Entwickler (Application Security): PortSwigger Web Security Academy (kostenlos und inhaltlich exzellent), OWASP WebGoat sowie OWASP ASVS als Checklist für eigene Anwendungen.

Einsteiger in die IT-Security-Karriere: TryHackMe (Junior Penetration Tester Pfad), CompTIA Security+ als erste Zertifizierung und HackTheBox nach den TryHackMe-Grundlagen.

Fortgeschrittene / Penetration Tester: HackTheBox Pro Labs, Offensive Security OSCP sowie Bug-Bounty-Programme auf HackerOne und Bugcrowd für reale Erfahrung.

Sprachliche Ressourcen und Glossare

Ein häufig unterschätzter Teil der IT-Security-Bildung ist der Aufbau eines soliden Fachlexikons. Die Branche ist stark anglophon - viele Angriffstechniken, Frameworks und Konzepte haben englische Namen (APT, TTPs, IOC, CVE, MITRE ATT&CK). Wer die Fachbegriffe nicht kennt, versteht Berichte, Advisories und Dokumentationen nicht vollständig.

Empfehlenswerte Glossar-Quellen:

  • NIST Computer Security Resource Center Glossary (csrc.nist.gov/glossary): Autoritäre englische Definitionen für Sicherheitsbegriffe
  • BSI Glossar (bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Glossar): Deutschsprachige Definitionen mit Gesetzesreferenzen
  • CVE-Datenbank (cve.org): Standardisierte Schwachstellen-Einträge mit technischen Details
  • OWASP Glossary (owasp.org): Web-Security-spezifische Begriffe

Zusätzlich lohnt es sich, die Sprache der Threat-Intelligence-Berichte großer Anbieter (Mandiant, CrowdStrike, Microsoft Security) zu lesen - dort werden aktuelle TTPs mit konkreten Beispielen erklärt.

Gute IT-Security-Bildung ist iterativ: Kein einzelner Kurs oder Podcast gibt vollständiges Wissen. Die Kombination aus regelmäßiger Nachrichtenlektüre, praktischen Übungen auf CTF-Plattformen und dem Austausch in Communities baut langfristig robuste Kompetenz auf.

Fragen zu diesem Thema?

Unsere Experten beraten Sie kostenlos und unverbindlich.

Erstberatung

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

E-Mail
PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen - CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking - Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Dieser Artikel wurde zuletzt am 15.03.2026 bearbeitet. Verantwortlich: Chris Wojzechowski, Geschäftsführender Gesellschafter bei AWARE7 GmbH. Lizenz: CC BY 4.0 - freie Nutzung mit Namensnennung: „AWARE7 GmbH, https://a7.de